Webサイトの脆弱性診断?

サイバー攻撃耐性検査サービス とは?

A. 企業のWebサイト(ホームページ)がサイバー攻撃に対し、どれくらいの耐性があるのか?を診断し、修正方法も含めレポートにてご報告するサービス です。

 もっと知りたい方は click 👉 サービス提供の背景

ジャイロセキュリティ提供の二種類の検査サービスについて

AIを活用し、低価格/短納期の納得できる脆弱性診断を実いたしました。

⓵安心の価格設定
⓶他社を圧倒する短納期
⓷信頼のアフターケア

脆弱性診断は2プランのみ

最短2週間で報告会まで終了

改善方法のアドバイスも実施。
必要であれば改修も実施いたします。(別途有償)

特にこんな法人様は要チェックになります。

✔ IPOを計画中
✔ インターネットでサービスを提供している
✔ 取引先/顧客には絶対迷惑をかけたくない
✔ 社内に専任者がいない
✔ リスク対策は重要と考えている
✔ 現状のリスクを把握/確認したい
✔ 他の脆弱性診断ベンダーに断られた
✔ アプリやDB、APIまで診断したい

1.定期診断サービス

年4回の定期診断で、最新の脆弱性をもれなくチェック。定期的に行うからセキュリティ対策は万全な状態に!

〈診断実施項目概要〉

 


〈診断サイクル〉


〈レポート内容〉

2.サイバー攻撃耐性検査サービス

定期診断より詳細に、更なる安心に。
定期診断で出てきた脆弱性への詳細診断や定期診断では見つからない脆弱性を割り出します。

〈診断実施内容〉

Web Application Penetration Testing
SANS Top 25 Full Coverage
OWASP Top 10 Full Coverage
PCI DSS 6.5.1-6.5.10 Full Coverage
AI Augments Human Testing and Analysis
Machine Learning Accelerates Testing
Authenticated Testing (MFA / SSO)
REST/SOAP API Testing
Business Logic Testing
Privacy Review
Threat-Aware Risk Scoring
Step-by-Step Instructions to Reproduce
Web, PDF, JSON, XML and CSV Formats
Tailored Remediation Guidelines
PCI DSS and GDPR Compliances
CVE, CWE and CVSS Scores
OWASP ASVS Mapping
CWE/SANS Top 25
CWE-787 : Out-of-Bounds Write
CWE-79 : Improper Neutralization of Input During Web Page Generation
CWE-125 : Out-of-Bounds Read
CWE-20 : Improper Input Validation
CWE-78 : Improper Neutralization of Special Elements used in an OS Command
CWE-89 : Improper Neutralization of Special Elements used in an SQL Command
CWE-416 : Use After Free
CWE-22 : Improper Limitation of a Pathname to a Restricted Directory
CWE-352 : Cross-Site Request Forgery (CSRF)
CWE-434 : Unrestricted Upload of File with Dangerous Type
CWE-306 : Missing Authentication for Critical Function
CWE-190 : Integer Overflow or Wraparound
CWE-502 : Deserialization of Untrusted Data
CWE-287 : Improper Authentication
CWE-476 : NULL Pointer Dereference
CWE-798 : Use of Hard-coded Credentials
CWE-119 : Improper Restriction of Operations within the Bounds of a Memory Buffer
CWE-862 : Missing Authorization
CWE-276 : Incorrect Default Permissions
CWE-200 : Exposure of Sensitive Information to an Unauthorized Actor
CWE-522 : Insufficiently Protected Credentials
CWE-732 : Incorrect Permission Assignment for Critical Resource
CWE-611 : Improper Restriction of XML External Entity Reference
CWE-918 : Server-Side Request Forgery (SSRF)
CWE-77 : Improper Neutralization of Special Elements used in a Command

PCI DSS (6.5.1-6.5.10)
Injection Flaws
Many Other “High” Risk Vulnerabilities
Buffer Overflows
Cross-Site Scripting (XSS)
Insecure Cryptographic Storage
Improper Access Control
Insecure Communications
Cross-Site Request Forgery (CSRF)
Improper Error Handling
Broken Authentication and Session Management

OWASP Top 10
A1 : Broken Access Control
A2 : Cryptographic Failures
A3 : Injection
A4 : Insecure Design
A5 : Security Misconfiguration
A6 : Vulnerable and Outdated Components
A7 : Identification and Authentication Failures
A8 : Software and Data Integrity Failures
A9 : Security Logging and Monitoring Failures
A10 : Server-Side Request Forgery

OWASP API Top 10
API1 : Broken Object Level Authorization
API2 : Broken User Authentication
API3 : Excessive Data Exposure
API4 : Lack of Resources & Rate Limiting
API5 : Broken Function Level Authorization
API6 : Mass Assignment
API7 : Security Misconfiguration
API8 : Injection
API9 : Improper Assets Management
API10 : Insufficient Logging & Monitoring
 

2.サイバー攻撃耐性検査サービス提供の背景

 

【日本を取り巻くサイバー攻撃の実態】

日本に対する不正な通信は5705億件にも上ります。

va1

日本の法人数が 約180万社 ですので、

1社あたり

約316,900件/年

となり

1日(年間営業日数を245日とします)あたりで計算すると、
1法人に対する不正通信は

約1,293件/日

この不正通信が成功すると、サイバー事故(インシデント)が発生します。

どんなサイバー事故(インシデント)が多いのか?はJPCERTでインシデント対応状況として公開されています。

上記は2022/01/17 12:34 現在のものですが、ウイルス感染よりもホームページに関係するサイバー事故(インシデント)が全体の7割以上となっており、ウイルス対策同様、ホームページにもセキュリティ対策を行う必要があることがわかります。


しかし、、、、、

 

・我が社には、情報を盗られても困るデータは無いから大丈夫
・我が社は小さな会社だから大丈夫
・ホームページ制作会社に任せているから大丈夫
・一度もサイバー攻撃を受けていないから大丈夫

と考えられている経営者が多いようです。

実は今そんな中小企業の経営者にこそ、サイバー攻撃の対象とされてしまっています。
その理由は「踏み台」です。

図のように、大企業へウイルスを運ぶための踏み台として中小企業が狙われています。

va3


このサイバー攻撃が成功すると中小企業に待っているのは。。。

va4

それでは、どれくらいの企業がホームページのセキュリティ対策として脆弱性診断を実施しているのかと言うと

va5


それでは、なぜ脆弱性診断を実施しないのか?に対して
下記のような声が得られました…。

脆弱性診断が気になっている、実施したいと考えてはいるが…

高額である/ 時間がかかる/ 人手が足りない/ サポート不足

といった理由でできない。。

そんな企業様の課題をクリアする脆弱性診断サービスを提供しよう!

と考え、作り上げたのが今回ご紹介させていただいたサービスです。

 

現在お試し企画として、無料の脆弱性診断サービスを提供しておりますのでぜひご確認くださいませ。


・サービスに関するお問い合わせ
・お見積り
・脆弱性診断を取り扱いたいベンダー様
・その他ご相談

ご質問、ご相談等 何でも喜んで対応させていただきますので
お気軽に下記よりお問い合わせください。